ImageVerifierCode 换一换
格式:DOCX , 页数:5 ,大小:19.70KB ,
资源ID:13163722      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/13163722.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(互联网安全解决方案Word文档格式.docx)为本站会员(b****1)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

互联网安全解决方案Word文档格式.docx

1、平台安全解决方案背景 随着互联网应用的普及,信息的获取越来越依赖于网络,从而进一步推动了互联网应用和网站建设。但是,随着网站建设的规模化,网站安全问题迅速严峻。国家规定中明确指出应用能够防范网站、网页被篡改,被篡改后能够自动恢复。金融行业作为互联网中一个特殊的模块,在安全方面,因涉及到用户更多的敏感信息与用户资金安全,所以平台安全问题的必要性、重要性是不可小觑的。安全问题注入攻击和跨站脚本攻击Web应用主要有2种最常见的严重缺陷。首先是各种形式的注入攻击,其中包括SQL、操作系统、电子邮件和LDAP注入,它们的攻击方式都是在发给 应用的命令或查询中夹带恶意数据。别有用心的数据可以让应用执行一些

2、恶意命令或访问未授权数据。如果网站使用用户数据生成SQL查询,而不检查用户数据的 合法性,那么攻击者就可能执行SQL注入。这样攻击者就可以直接向数据库提交恶意SQL查询和传输命令。举例来说,索尼的PlayStation数据库就 曾经遭遇过SQL注入攻击,并植入未授权代码。跨站脚本(XSS)攻击会将客户端脚本代码(如JavaScript)注入到Web应用的输出中,从而攻击应用的用户。只要访问受攻击的输出或页 面,浏览器就会执行代码,让攻击者劫持用户会话,将用户重定向到一个恶意站点或者破坏网页显示效果。XSS攻击很可能出现在动态生成的页面内容中,通常应 用会接受用户提供的数据而没有正确验证或转码。

3、身份验证和会话管理被攻破Web应用程序必须处理用户验证,并建立会话跟踪每一个用户请求,因为HTTP本身不具备这个功能。除非任何时候所有的身份验证信息和会话身份标识 都进行加密,保证不受其他缺陷(如XSS)的攻击,否则攻击者就有可能劫持一个激活的会话,伪装成某个用户的身份。如果一个攻击者发现某个原始用户未注销 的会话(路过攻击),那么所有帐号管理功能和事务都必须重新验证,即使用户有一个有效的会话ID。此外,在重要的事务中还应该考虑使用双因子身份验证。不安全的直接对象引用这是应用设计不当引起的另一个缺陷,它的根源是错误地假定用户总是会遵循应用程序的规则。例如,如果用户的帐号ID显示在页面的URL或

4、隐藏域中, 恶意用户可能会猜测其他用户的ID,然后再次提交请求访问他们的数据,特别是当ID值是可以猜测的时候。安全性配置不当支持Web应用程序的基础架构包含各种各样的设备和软件服务器、防火墙、数据库、操作系统和应用软件。所有这些元素都必须正确配置和保证安全, 应用程序只是运行在最低权限配置上,但是许多系统本身还不够安全。系统管理不当的一个主要原因是Web应用程序管理人员和基础架构支持人员从未接受过必要 的培训。解决方案为了防御注入攻击和XSS攻击,应用程序应该配置为假定所有数据无论是来自表单、URL、Cookie或应用的数据库,都是不可信来源。要检查 所有处理用户提供数据的代码,保证它是有效的

5、。验证函数需要清理所有可能有恶意作用的字符或字符串,然后再将它传给脚本和数据库。要检查输入数据的类型、 长度、格式和范围。一定要检查 所有从客户端接受的值,进行过滤和编码,然后再传回给用户。为了发现身份验证和会话管理问题,企业要以执行代码检查和渗透测试。开发者可以使用自动化代码和漏洞扫描程序,发现潜在的安全问题。有一些地方通常 需要特别注意,其中包括会话身份标识的处理方式和用户修改用户身份信息的方法。如果没有预算购买商业版本,那么也可以使用许多开源和简化版本软件,它们可 以发现一些需要更仔细检查的代码或进程。防止这种漏洞的最佳方法是使用随机、不可猜测的 ID、文件名和对象名,而且不要暴露对象的

6、真实名称。常见的错误暴露数据的位置是URL和超链接、隐藏表单域、ASP.NET的未保护视图状态、直接列表框、JavaScript代码和客户端对象(如Java Applet)。每次访问敏感文件或内容时,都要验证访问数据的用户已获得授权。为执行日常网络应用管理的人员提供足够的培训和资源,这是在开发过程中所有阶段保证安全性和保密性的重要条件。最后,要为Web应用程序安排一个渗透测试,处理所有敏感数据。这是一种主动评估应用抵抗攻击能力的方法,可以在受到攻击前发现系统漏洞总结综上所述,需要在技术上做安全防护之外。完善的权限管理和系统日志不仅可用于遭受攻击责任的追究和落实,同时也为管理人员全面了解网站安全和系统运行状况提供了必须的资料。提供数据和文件备份,提供网站备份的能力,以便保障系统实施过程中的初始化可以在不借助第三方软件的情况下顺利进行。

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1